원래 게시물 주소 : HTTPS : //cloud.tencent.com/developer/article/1146827
1. 버전 : 공식 톰캣의 다운로드 페이지에서 최신 안정 버전을 다운로드해야합니다, 베타 버전을 다운로드하지 않도록주의. 톰캣 공식 웹 사이트 주소는 다음과 같습니다
http://tomcat.apache.org/
2. 루트가 아닌 시작 : Tomcat이 시스템 루트 계정을 시작 Tomcat을 시작하는 새 일반 사용자로 금지되어 있습니다. PS 보조로 계정을 확인하는 과정을 시작 톰캣 | 명령 바람둥이 그렙 볼 수 있습니다.
직접 루트가 아닌 사용자는 같은 8080 개 이상의 1024 개 포트를들을 수 있습니다, 바람둥이, 적용 tomcat5을 / 6/7/8를 시작합니다. 작동 방식 단계 :
단계 : 새 사용자
useradd와 바람둥이
단계 : 수정 톰캣 디렉토리 소유자 권한을 부여
대한 Chown -R 바람둥이 : 아파치-tomcat- 바람둥이 *
chmod를 -R 770 아파치 tomcat- *
참고 : 바람둥이 디렉토리 이름에 대한 아파치-tomcat- *.
세 번째 단계 : Tomcat을 시작
바람둥이가 중지되었는지 확인을 시작하기 전에, 바람둥이 바람둥이 일반 사용자를 시작하는 시스템으로 전환합니다.
CD 아파치 - 톰캣 - * / 빈 /
스와 바람둥이
./startup.sh
성공적인 시작 후에는 아래와 같이 바람둥이 지금, 사용자 권한으로 실행됩니다 바람둥이 볼 수 있습니다 :
프로그램의 비 루트 권한의 단점은 당신이 포트 80/443을 듣고 바람둥이 원하는 그렇다면, 1024 포트 이상을 모니터링 할 수 있습니다 외부, 당신은 포워딩의 iptables 또는 아파치 / nginx를 사용해야합니다. 이러한의 iptables 규칙과 같은 :
의 iptables -A FORWARD -p TCP --destination-443 포트 -jACCEPT
의 iptables -t NAT -A PREROUTING -j REDIRECT -p TCP - 목적지 포트 443 --to-포트 8443
의 iptables -A FORWARD -p TCP --destination-포트 80 -jACCEPT
의 iptables -t NAT -A PREROUTING -j REDIRECT -p TCP - 목적지 포트 80 --to-포트 8080
기본 페이지를 삭제 3. 바람둥이 / 웹 어플리케이션 / 디렉토리 아래에 모두 삭제 파일 및 디렉토리. 현재 디렉토리 웹 어플리케이션이 알려져있다 :
톰캣 / 웹 어플리케이션 / 문서 /
톰캣 / 웹 응용 / 예 /
바람둥이 / 웹 어플리케이션 / 호스트 관리자 /
바람둥이 / 웹 어플리케이션 / 관리자 /
바람둥이 / 웹 어플리케이션 / ROOT /
4. 디렉터리 검색 : Tomcat 서버는 정보 시스템과 서버 정보의 유출을 방지하기 위해, 디렉토리 탐색을 허용하지 않습니다. 바람둥이 / 웹 어플리케이션 / conf의 /의 web.xml 파일의 구성 항목, 특히 구성 :
|
<파람 이름은> 명부 </ PARAM-이름> <PARAM 값은> 거짓 </ PARAM 값은> 참고 : 기본 구성 디렉터리 검색을 금지합니다 |
|---|
다음과 같은 효과 샷은 다음과 같습니다 :
5.Tomcat 로깅 : 편집 server.xml의 구성 파일 보장 로깅 기능 <HOST> 태그의 구성은 다음과된다 :
|
<밸브 클래스 명 = "org.apache.catalina.valves.AccessLogValve"디렉토리 = "로그"접두사 = 접미사 = 패턴 = "일반적인"resloveHosts = "거짓"/ "TXT를." "Localhost_access_log는."> 참고 : 기본 바람둥이가 개설되었습니다 로깅 |
|---|
6. 시작 안전 모드는 : 스크립트에 대한 액세스를 제한하려면, 트로이 목마는 안전 매개 변수의 시작을 증가 WEBSHELL 가드 Tomcat을 시작하는 다음과 같은 방법으로 시작하는 것이 좋습니다
|
톰캣 / 빈 / startup.sh - 보안 |
|---|
참고 :이 옵션은 크게 웹 서버의 보안을 향상시킬 수 있지만, 때문에, 프로그램 오류를 실행 사용 재량 사업을 기쁘게 할 수있는 권한에 문제가 발생할 수 있습니다.
7. 금지 오류 메시지 : 프로그램이 실패 할 때 Tomcat이 서버는 민감한 정보를 유출 할 수 있습니다, 오류 메시지가 메시지를 표시합니다, 당신은 오류 메시지를 닫아야합니다. 당신은 사용자에게 오류 메시지를 표시하지 않는 방법에 의한 오류 페이지를 지정할 수 있습니다, 수정 바람둥이 / conf의 / web.xml에 다음과 같은 구성 항목을 추가 :
|
<에러 페이지> <오류 코드> 500 </ 오류 코드>를 <location> /500.jsp </ 위치> </ 에러 페이지> 주 : 적절한 에러 코드는 공통 500, 자신의 필요에 따라 증가 될 수있다 , 404 등 위치 옵션은 지정된 점프 페이지, JSP 파일은 자신을 생성해야합니다. |
|---|
8. 삭제하여 jspx 파일을 구문 분석 : 톰캣의 conf의를 수정하는 특정 작업을 삭제할 것을 제안 JSPX하여 jspx 파일을 구문 분석을 사용할 필요가있는 경우 기본 파일 형식은하여 jspx 접미사 해결 서버로하여 jspx가 가져온 큰 보안 위험이 해결 될 수있다 /web.xml 파일 : 다음 코드 주석 :
|
<URL 패턴> *.하여 jspx </ URL 패턴> |
|---|
9. 디렉토리 권한 설정 파일 : 웹 디렉토리와 파일 소유자는 주 사용자가 동일한 바람둥이에 속하는 시작할 수 없습니다. 바람둥이는 바람둥이 시작 계정 권한으로, 웹 파일 및 디렉토리의 그룹이 아닌 바람둥이 계정이어야합니다.
통합 웹 디렉토리 권한을 755로 설정, 웹 통합 파일 권한을 644로 설정합니다. 만 업로드 디렉토리 읽기 및 쓰기 디렉토리 권한은 이러한 연합은 777으로 설정됩니다.
공공 마이크로 채널 번호에서이 문서 공유 - 텐센트 클라우드 보안 (TencentCloudSecurity를)
원본 소스 및 재 인쇄 정보 참조 문서 세부, 만약 침해, 제발 연락 [email protected] 삭제.
원래 게시 날짜 : 2014-08-01
관련이 논문 미디어 공유 계획에서 텐센트 구름 , 당신은 또한 읽고 함께 참여하고 공유하실 수 있습니다.